c#文本框自动完成从SQL表
本文关键字:SQL 文本 | 更新日期: 2023-09-27 18:19:10
我需要在combobox1中搜索表,文本用户将在autoCompleteTextbox1中输入,它可以是itemcode或itemname
但我得到错误说:
附加信息:变量名"@name"已经被宣称。变量名在查询批处理或存储过程中必须是唯一的。
if (cn.State == ConnectionState.Closed)
{
cn.Open();
}
cm.Connection = cn;
if (autoCompleteTextbox1.Text == "")
{
}
else
{
AutoCompleteStringCollection namecollection = new AutoCompleteStringCollection();
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
SqlDataReader rea = cm.ExecuteReader();
if (rea.HasRows == true)
{
while (rea.Read())
namecollection.Add(rea["name"].ToString());
}
rea.Close();
autoCompleteTextbox1.AutoCompleteMode = AutoCompleteMode.Suggest;
autoCompleteTextbox1.AutoCompleteSource = AutoCompleteSource.CustomSource;
autoCompleteTextbox1.AutoCompleteCustomSource = namecollection;
我的代码中的错误是什么以及如何修复它plz
cm变量代表一个命令。
因为cm.Parameters.AddWithValue("@name", searchFor);失败了,错误是The variable name '@name' has already been declared.,你可以得出结论,cm变量的寿命比这段代码长。
1)每次重新初始化命令(这是大多数人做的事情)。例如
cm = new SqlCommand(); //Assumes sql server
cm.Connection = cn;
或
2)检查cmd。@name参数的参数,如果不存在则添加参数,然后设置参数。
if (!(cmd.Parameters.Contains("@name")
{
cmd.Paramters.Add("@name",SqlDbType.Varchar)
}
cmd.Paramters["@name"].Value = serachFor;
关于FROM " + tableName + " WHERE. SQL注入的说明
comboBox1。文本填充tableName。只有当它是一个用户可以更改的字符串时(例如一个网页),它才是一个危险的字符串。如果它是一个WPF或windows窗体应用程序,那么它并不危险。*
如果comboBox1。文本来自网页,那么你能做的最好的事情就是使用白名单来验证字符串没有被改变,如果它有那么不返回任何结果。例如
if (!ValidTableNames.Contains(tableName))
return;
好在您已经有了白列表,因为您已经用它填充了组合框。
*从技术上讲,他们可以使用调试工具更改值,但在这种情况下,他们可以直接更改命令文本。
Replace
string searchFor = "%" + autoCompleteTextbox1.Text + "%"; //the string the user entered.
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like @name OR itmname LIKE @name";
cm.Parameters.AddWithValue("@name", searchFor);
string searchFor = "%" + autoCompleteTextbox1.Text + "%";
string tableName = comboBox1.Text;
cm.CommandText = @"SELECT distinct(itmcode+''+itmname) AS name FROM " + tableName + " WHERE itmcode Like '" + searchFor + "' OR itmname LIKE '" + searchFor + "'";